Crackmapexec берёт служебный пароль консоли Kaspersky Security Center

Давно не писал ничего на тему PenTest, а тут вдруг кейс интересный попался. Честно говоря, я и сам не понял как так получилось, в конце напишу свои соображения. Предлагаю проверить этот кейс владельцам сетей с развёрнутой антивирусной защитой от Kaspersky Security Center.

Суть прикола

Товарищ попросил проверить безопасность его конторы. Всё прекрасно, всё пропатчено, антивирусная защита развёрнута на всех узлах. Ну не подступиться. Кое-как разжились сперва локальной учёткой, потом повысили себе права и создали временную админскую локальную учётку. Время брать домен, но …

И вот, собственно, результат выполнения команды

# crackmapexec smb 192.168.1.x -u 'login админа' -p 'пароль админа' --local-auth --lsa

выдал в конце несколько учёток с plaintext-паролями. Беглый гугл пояснил, что это сервисная учётка Kaspersky. Но неужели пароль в открытом виде?

Качаю клиент консоли с официального сайта, ввожу эти учётные данные и вуаля:

Ну первым делом конечно отключить защиту на сервере, который удалось пробить с локальным администратором:


После уже использовать модуль mimikatz:

# crackmapexec smb 192.168.1.x -u 'login админа' -p 'пароль админа' --local-auth -M mimikatz

и получить закешированый пароль доменного администратора. Бинго!

Выводы

  1. Если честно, я не понимаю до сих пор, каким образом в lsa попал открытый пароль консоли KSC. Провёл некоторые эксперименты. Пароль падает даже до первого входа администратора – сразу после установки. Захват антивирусного сервера открывает богатые возможности как для продвижения по горизонтали, так и для повышения привилегий на конкретной станции. Напомню, KSC позволяет создавать инсталляционные пакеты и устанавливать их на произвольные узлы, с установленным агентом.
  2. Как от этого защититься? Понятия не имею. Единственный вариант – использовать устойчивые к перебору локальные и доменные пароли, так как для парсинга LSA требуются права администратора как минимум.
Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply